Privacy weekly | Il guest post di Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali. Un viaggio intorno al mondo su tutela della privacy e digitale
L’European Data Protection Supervisor ha appena pubblicato il proprio parere (EDPS Opinion 44/2023 ) sul draft di regolamento europeo sull’intelligenza artificiale. La proposta di regolamento, ormai arrivata al rush finale, che prevede nuove norme per l’uso e lo sviluppo dei sistemi di IA nell’Unione Europea. L’obiettivo del Regolamento – che potrebbe essere una delle prime “leggi” al mondo in materia di intelligenza artificiale – è, come noto, quello di cercare una posizione di compromesso tra l’esigenza di promuovere l’innovazione quella di difendere i diritti fondamentali delle persone, limitando rischi e pericoli che rappresentano, da sempre, l’altra faccia della medaglia delle tante opportunità che il progresso tecnologico ci offre.
Quelle del Supervisor europeo, Wojciech Wiewiórowski per la protezione dei dati personali, già indicato nel draft di Regolamento come futuro garante anche dell’IA utilizzata dalle Istituzioni europee sono raccomandazioni importanti. A cominciare da quella relativa all’esigenza di individuare più puntualmente di quanto attualmente previsto i propri compiti e poteri e proseguendo con la necessità – allo stato, invece, non prevista nel draft di Regolamento, di designare le singole autorità di protezione dei dati personali nazionali come competenti a vigilare anche sull’applicazione delle disposizioni contenute nel Regolamento medesimo. Quest’ultima, in effetti, sembrerebbe – mi rendo conto di essere di parte nello scriverlo ma oggettivamente credo lo scriverei anche se facessi un diverso lavoro – la strada più veloce, più economica e più efficiente per il governo dell’intelligenza artificiale.
Le ragioni sono numerose. Tutti i Paesi europei hanno già un’autorità di protezione dei dati personali e tutte le autorità di protezione dei dati personali hanno già sede e meccanismi di cooperazione in seno allo european data protection board (EDPB). Inutile, più costoso e time consuming pensare di istituire nuove autorità o agenzie e poi inserirle in nuovo network europeo tutto da progettare, creare e mettere in funzione. Ma non basta. Il punto è anche che, in ogni caso, le Autorità di protezione dei dati personali manterranno competenze forti e penetranti in materia di intelligenza artificiale loro derivanti dal GDPR. In fondo, se è vero che le persone sono quello che mangiano è, egualmente vero, che gli algoritmi sono i dati, anche, personali con i quali vengono addestrati e, quindi, la sovrapposizione tra le cose della privacy e quelle dell’AI è inevitabile. E, allora, meglio che tutte le competenze siano in capo a una stessa Autorità anziché a due distinte Autorità le cui decisioni potrebbero trovarsi a confliggere o anche solo a noi coincidere generando inutili complicazioni e entropia pericolosa per il mercato tanto quanto per la tutela dei diritti e delle libertà personali delle persone.
Secondo l’attuale draft di regolamento toccherebbe a ogni singolo Governo nazionale fare la propria scelta. Ma sembra trattarsi di un’inutile perdita di tempo e di un altrettanto inutile elemento di disomogeneità a livello nazionale. In ogni caso, se questa dovesse essere la scelta definitiva, l’importante è che si tratti di un’autorità amministrativa indipendente e non di un’agenzia di Governo perché l’AI ha – e avrà – un impatto enorme sulla società, sui diritti e sulle libertà fondamentali e non si può lasciare ai Governi il compito di governarlo attraverso un’agenzia. Le cose della politica non devono e non possono interferire con quelle della regolamentazione secondaria e della vigilanza sull’AI. Ma il parere dello EDPS non si ferma a queste indicazioni. Nel parere, infatti, si sottolinea anche l’importanza di vietare l’uso di sistemi di IA che comportino rischi ritenuti inaccettabili per le persone e per i loro diritti fondamentali, come peraltro già sostenuto con il Comitato europeo per la protezione dei dati, nel precedente parere congiunto sull’IA Act.
Ciò include il divieto di utilizzare sistemi di IA per il riconoscimento automatico di caratteristiche umane e di altri segnali comportamentali negli spazi pubblici e la categorizzazione di individui in base alle loro caratteristiche biometriche. In tali contesti, l’utilizzo di sistemi di IA ad alto rischio dovrebbe essere vietato a causa dell’elevato livello di intrusione nella vita delle persone e del loro impatto sulla dignità umana. Il senso dell’indicazione del “garante europeo” è chiaro anche se, talvolta, regolamentare è meglio che vietare e, quindi, non è detto che considerare un’applicazione di AI a alto rischio e, per questo, sottoporla a una disciplina straordinariamente stringente non è detto che sia la strada sbagliata. L’altra potrebbe portare alla diffusione di applicazioni prodotte e utilizzate in maniera occulta per sottrarsi al divieto e, magari, non sempre l’attività di vigilanza sarebbe sufficiente a identificarle e bloccarle. Il EDPS, inoltre, accoglie, condivisibilmente, con favore l’istituzione dell’Ufficio europeo per l’intelligenza artificiale (Ufficio IA) con l’obiettivo di armonizzare l’applicazione della legge sull’intelligenza in tutti gli Stati membri dell’UE. I negoziati del draft di Regolamento sull’AI ora vanno avanti alla spasmodica ricerca di un difficile accordo che secondo alcuni potrebbe arrivare alla fine dell’anno, mentre verosimilmente perché tutte le sue disposizioni divengano direttamente applicabili nei diversi Paesi dell’Unione bisognerà attendere almeno un anno o un anno e mezzo di più.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.
